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(57) Abstract 

In elliptic curve cryptographic processing, the 
elliptic curve parameters are stored in the memory 
of a computer. These parameters are considerably 
long. In order to reduce the length of at least one 
parameter while maintaining a high degree of security, 
the elliptic curve is transformed. A parameter is 
shortened, preferably to 1, -1, 2 or -2, while the other 
parameters are several hundred bits long. Precisely in 
the case of chip cards, which have little storage space, 
even a single shortened parameter can already have a 
distinct effect. 

(57) Zusammenfassung 

Bei der kryptographischen Bearbeitung anhand 
einer elliptischen Kurve werden Parameter der elliptis- 
chen Kurve in einem Speicher eines Rechners abge- 
speichert. Diese Parameter weisen jeweils erhebliche 
Lange auf. Urn mindestens einen Parameter in seiner 
Lange deutlich zu verkUrzen und dabei unverandert 
hohe Sicherheit zu gewShrleisten, wird die elliptische 
Kurve transform iert. Mit einem Algorithmus wird ein 
Parameter bevorzugt zu 1, -1, 2 oder -2 verkurzt, 
wohingegen die anderen Parameter mehrere 100-Bit 
Lange aufweisen. Gerade bei Chipkarten, die wenig 
Speicherplatz aufweisen, macht sich die Verkurzung 
schon eines Parameters deutlich bemerkbar. 
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Beschreibung 

Verfahren und Vorrichtung zur kryptographischen Bearbeitung 
anhand einer elliptischen Kurve auf einern Rechner 

5 

Die Erfindung betrifft ein Verfahren und eine Anordnung zur 
kryptographischen Bearbeitung anhand einer elliptischen Kurve 
auf einem Rechner. 

10 Ein endlicher Korper heifit Galois-Feld. 2u den Eigenschaf ten 
und zur Definition des Galois-Feldes sei auf [3] verwiesen. 

Mit der weiten Verbreitung von Computernetzen und zugehorigen 
Anwendungen, die liber elektronische Kommuni ka t i ons s y s t erne 
15 (Kommunikationsnetze) abgewickelt werden, werden zunehmend 

wachsende Anf orderungen an die Datensicherheit gestellt. Der 
Aspekt der Datensicherheit berucksichtigt u.a. 

- die Moglichkeit eines Ausfalls der Datenubertragung, 

- die Moglichkeit korrumpierter Daten, 

20 - die Authentizitat der Daten, also die Feststellbarkeit und 
die Identif ikation eines Absenders und 

- den Schutz der Vertraulichkeit der Daten. 

Unter einem "Schlussel" werden Daten verstanden, die bei der 
25 kryptographischen Bearbeitung Verwendung finden. Aus Public- 
Key-Verfahren [4] ist bekannt, einen geheimen und einen 
offentlichen Schliissel einzusetzen. 

Ein "Angreifer" ist eine nichtautorisierte Person mit dem 
30 Ziel, an den Schlussel zu gelangen. 

Insbesondere in einem Rechnernetz, in zunehmenden Mafie aber 
auch in portablen Medien, z.B. einem Mobiltelefon oder einer 
Chipkarte, ist sicherzustellen, dafi ein abgespeicherter 
35 Schlussel auch dann nicht zuganglich ist, wenn ein Angreifer 
sich des Rechners, des Mobiltelef ons oder der Chipkarte 
bemachtigt. 
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Urn ausreichende Sicherheit kryptographischer Verfahren zu 
gewahrleisten, werden Schlussel, insbesondere bei 
asymmetrischen Verfahren, jeweils mit Langen von mehreren 100 
5 Bits bestimmt. Ein Speicherbereich eines Rechners oder 
portablen Mediums ist zumeist knapp bemessen. Eine Lange 
eines in einem solchen Speicherbereich abgelegten Schlussels 
von mehreren 100 Bits verringert den freien Speicherplatz auf 
dem Rechner bzw. dem Medium, so dafi nur wenige solcher 
10 Schlussel auf einmal abgespeichert werden konnen. 

Aus [1] und [2] ist eine elliptische Kurve und deren 
Anwendung bei der kryptographischen Bearbeitung bekannt, 

15 Die Aufgabe der Erfindung besteht darin, ein Verfahren zur 
kryptographischen Bearbeitung anhand mindestens einer 
elliptischen Kurve auf einem Rechner anzugeben, wobei weniger 
Speicherplatz benotigt wird. 

20 Diese Aufgabe wird gemafi der Merkmale der unabhangigen 
Patentanspruche gelost . 

Es wird ein Verfahren zur kryptographischen Bearbeitung 
anhand mindestens einer elliptischen Kurve auf einem Rechner 
2 5 angegeben, bei dem die elliptische Kurve in einer ersten Form 
vorgegeben wird, wobei mehrere erste Parameter die 
elliptische Kurve in der ersten Form bestimmen. Die 
elliptische Kurve wird in eine zweite Form transf ormiert , 
indem mehrere zweite Parameter bestimmt werden, wobei 
mindestens einer der zweiten Parameter in seiner Lange 
gegeniiber einem der ersten Parameter verkurzt wird. Die 
elliptische Kurve nach der Transformation, also in der 
zweiten Form, wird zur kryptographischen Bearbeitung 
verwendet . 



30 



35 



Durch die signifikante Verkurzung eines der ersten Parameter 
ergibt sich eine Einsparung eines fur diesen Parameter 
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bereitzustellenden Speicherbereichs . Da der Speicherbereich, 
z.B. auf einer Chipkarte, eng bemessen ist, erreicht man 
durch die Einsparung mehrerer 100 Bit fur jeden verkiirzten 
Parameter freien Speicherplatz z.B. zum Abspeichern eines 
5 weiteren geheimen Schltissels. Durch die Verkiirzung des 
jeweiligen Parameters bleibt ist die Sicherheit des 
kryptographischen Verfahrens trotzdem gewahrleistet . 

Bei Verwendung einer elliptischen Kurve in einem 
10 kryptographischen Verfahren steigt der Aufwand fur einen 
Angreifer, den Schlussel zu ermitteln, exponentiell mit 
dessen Lange . 

Eine Weiterbildung der Erfindung besteht darin, dafi die erste 
15 Form der elliptischen Kurve bestimmt ist durch: 

y 2 = x 3 + ax + b uber GF(p) (1) 

wobei 

20 GF(p) ein Galois-Feld mit p Elementen und 

x,y,a,b Elemente des Korpers GF(p) 

bezeichnen . 

Die spater verwendete Bezeichnung "mod p" bezeichnet einen 
25 Spezialfall fur das Galois-Feld, namlich die naturlichen 
Zahlen kleiner p. "mod" steht fur MODULO und umfalit eine 
Ganzzahldivision mit Rest. 

Eine andere Weiterbildung besteht darin, dafi die zweite Form 
30 der elliptischen Kurve bestimmt ist durch 

y 2 = x 3 + c 4 ax + c 6 b tiber GF(p) (2) 



wobei c eine Konstante bezeichnet, 



35 
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Zur Einsparung von Speicherplatz wird Gleichung (1) in 
Gleichung (2) transf ormiert und eine die elliptische Kurve 
gemafl Gleichung (2) kennzeichnende GroJie verkiirzt. 

Eine Weiterbildung besteht darin, den Parameter a zu 
verkiirzen, indem die Konstante c derart gewahlt wird, daB 

4 

c a mod p ^) 

deutlich ktirzer wird als die anderen die elliptische Kurven 
nach Gleichung (2) beschreibenden Parameter. Durch diese 
Verkiirzung benotigt der Parameter entsprechend weniger 
Speicherplatz . 

15 Auch ist es eine Weiterbildung, das Verfahren in einer der 
folgenden Anwendungen einzusetzen: 

• Verschlusselung bzw. Entschlusselung: 

Daten werden von einem Sender verschlilsselt - mittels 
symmetrischem oder asymmetrischem Verfahren - und auf der 
20 Gegenseite bei einem Empf anger entschliisselt . 

• Schlusselvergabe durch eine Zertif izierungsinstanz : 

Eine vertrauenswurdige Einrichtung (Zertif izierungsinstanz) 
vergibt den SchlQssel, wobei sichergestellt werden muli, dafi 
der Schlussel von dieser Zertif izierungsinstanz stammt. 

25 • digitale Signatur bzw. Verifikation der digitalen Signatur: 
Ein elektronisch.es Dokument wird signiert und die Signatur 
dem Dokument angefiigt. Bei dem Empf anger kann anhand er 
Signatur festgestellt werden, ob auch wirklich der 
gewunschte Sender unterschrieben hat. 

30 • asymmetrische Authentikation : 

Anhand eines asymmetrischen Verfahrens kann ein Benutzer 
seine Identitat nachweisen. Vorzugweise geschieht das durch 
Codierung mit einem entsprechenden geheimen (privaten) 
Schlussel. Mit dem zugehorigen offentlichen Schlussel 

35 dieses Benutzers kann jeder feststellen, dafi die Codierung 
wirklich von diesem Benutzer stammt. 
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• Verkiirzen von Schlusseln: 

Eine Variante der kryptographischen Bearbeitung umfaiit das 
Verkiirzen eines Schlussels, welcher Schltlssel bevorzugt fur 
weitergehende Verfahren der Kryptographie verwendet werden 



Ferner ist eine Vorrichtung angegeben, die eine 
Prozessoreinheit aufweist, die derart eingerichtet ist, dafl 

10 eine elliptische Kurve in einer ersten Form vorgegeben wird, 
wobei mehrere erste Parameter die elliptische Kurve 
bestimmen, und dafl die elliptische Kurve in eine zweite Form 
transf ormiert wird, indem mehrere zweite Parameter bestimmt 
werden, wobei mindestens einer der zweiten Parameter in 

15 seiner Lange gegenuber den ersten Parameter verkiirzt wird. 
Schliefllich wird die elliptische Kurve in der zweiten Form 
zur kryptographischen Bearbeitung bestimmt. 

Diese Vorrichtung kann eine Chipkarte sein, die einen 
20 geschutzten und einen nicht geschutzten Speicherbereich 

aufweist, wobei sowohl in dem geschutzten als auch in dem 
nichtgeschutzten Speicherbereich Schlussel, also Parameter, 
die die elliptische Kurve kennzeichnen, abgelegt werden 
konnen. 

25 

Diese Vorrichtung ist insbesondere geeignet zur Durchfuhrung 
des erf indungsgemafien Verfahrens oder einer seiner vorstehend 
erlauterten Weiterbildungen . 

30 Weiterbildungen der Erfindung ergeben sich auch aus den 
abhangigen Anspriichen. 

Anhand der folgenden Figur werden Ausflihrungsbeispiele der 
Erfindung naher dargestellt. 

35 

Es zeigen 



5 



kann . 
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Fig.l ein Verfahren zur kryptographischen Bearbeitung 

mittels einer elliptischen Kurve, wobei mindestens 
ein Parameter der elliptischen Kurve verkurzt wird 
und somit eine Einsparung eines Teils des fur die 
5 Parameter der elliptischen Kurve benotigten 

Speicherbereichs erfolgt; 

Fig. 2 eine Auswahl von Moglichkeiten far die Primzahl p, so 
dali der Parameter a der elliptischen Kurve verkurzt 
10 wird; 

Fig. 3 ein Verfahren zur Bestimmung einer elliptischen Kurve 
und anschliefiende Transformation in die zweite Form; 

15 Fig. 4 eine Anordnung zur kryptographischen Bearbeitung; 

Fig. 5 eine Prozessoreinheit . 



20 Fig.l zeigt ein Verfahren zur Bearbeitung mittels einer 

elliptischen Kurve. Die elliptische Kurve (vgl. Block 101) 
wird dazu von einer ersten Form in eine zweite Form 
transformiert (vgl. Block. 102), ein Parameter der zweiten 
Form wird verkurzt (vgl. Block 103) und die zweite Form wird 

25 zur kryptographischen Bearbeitung abgespeichert (vgl. Block 
104). Nachfolgend wird auf die genannten Schritte 
eingegangen, wobei einige Moglichkeiten fur die Verkiirzung 
beispielhaft herausgegrif f en werden. 



30 



35 



Es wird beschrieben, wie eine Reduzierung der Lange des 
Parameters a in der Gleichung der elliptischen Kurve 
(elliptische Kurve in erster Form, siehe Block 101) 

2 3 

y = x + ax + b uber GF(p) (3) 

erreicht wird, wobei p insbesondere eine Primzahl grofier 3 
ist und GF(p) ein Galois-Feld mit p Elementen darstellt. 
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Eine elliptische Kurve 

y 2 = x 3 + ax + b liber GF(p) (4) 

5 

laiit sich durch Transformation in eine birational isomorphe 
elliptische Kurve (elliptische Kurve in zweiter Form, siehe 
Block 102) 

10 y 2 = x 3 + c 4 ax + c 6 b uber GF(p) (5) 

liber flihren. Durch geeignete Wahl der Konstanten c kann der 
Koef f izient 

15 c 4 a bzw. (6) 

4 

- c*a J7) 

verkiirzt werden (siehe Block 103) mit dem Vorteil, daii der 
20 zur Speicherung dieses Koef f izienten benotigte Speicherplatz 
im Vergleich zum Speicherplatz flir den Parameter a gering 
sein kann. 



30 



Entsprechend Gleichung (5) werden nachfolgend die Zahlen 
bestimint . 



4 4 7 

25 c a (bzw. - c a) und c 



4 

1 Bestimmung der Zahl " c a" 

4 4 

Zur Bestimmung der Zahl c a (bzw. - c a) unterscheidet man 



bevorzugt die folgenden Falle: 

1.1 p = 3 mod 4 
35 In diesen Korpern gilt: 

- alle Quadrate sind auch vierte Potenzen, 
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- '-I 1 ist kein Quadrat. 

Es sei nun p = 4k + 3 und s eine vierte Potenz, welche 
die multiplikative Untergruppe der vierten Potenzen 
(bzw. der Quadrate) in GF(p) erzeugt. 

Es ist 

V = jl, s, s 2 , s^, . . . , s 2k j die Menge der vierten 

Potenzen in GF(p) und 



NQ 



- | lz-Sr-s^-s 3 , . . . ,-s 2k j die Menge der 

Nichtquadrate in GF(p). 

1. Zu jedem Element a = s t aus V 
existiert ein Element c 4 = s^"^ 1 " 11 aus V 

mit c 4 a = s 2k + 1 = 1 in GF(p) . 

2. Zu jedem Element a = -s t aus V 
existiert ein Element c 4 = s 2k + l~t aus v 

mit c 4 a = -s 2k + 1 = -l in GF(p) 

Dabei bezeichnen s, t und k Kdrperelemente aus GF(p) . 

Fur p == 3 mod 4 lafit sich der Parameter a durch 
geeignete Wahl der Konstanten c in die Zahl c 4 a = 1 in 
GF(p) oder c 4 a = -1 in GF(p) uberfuhren. 

2 p = 1 mod 4 

In einem solchen Korper gilt: 

- (p-l)/4 Elemente der multiplikativen Gruppe des 
Korpers sind vierte Potenzen; 

- (p-l)/4 Elemente der multiplikativen Gruppe des 
Korpers sind Quadrate, aber keine vierten Potenzen; 

- (p-l)/2 Elemente der multiplikativen Gruppe des 
Korpers sind Nichtquadrate; 
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- '-1' ist kein Nichtquadrat . 



A) p = 5 mod 8 

In einem solchen Korper gilt zusatzlich: 

- ' -l f ist ein Quadrat, aber keine vierte Potenz, 

- '+2', '-2' sind Nichtquadrate. 

Es sei nun p = 8k + 5 und s eine vierte Potenz, welche 
die multiplikative Untergruppe der vierten Potenz in 
GF(p) erzeugt. 

Es ist 

{2 3 2k) 
1, s, s , s , . . . , s I die Menge der vierten 

Potenzen in GF(p) und 



— ^ 1, s, s , s , s 2 ^ 



die Menge der Quadrate, 

die keine vierten Potenzen 
in GF(p) sind und 



NQ 



= |2,2s,2s 2 ,2s 3 , . . . ,2s 2k ,-2,-2s ,-2s 2 ,-2s 3 , . . . ^s^J die Menge 



der Nichtquadrate in 
GF(p) . 

1. Zu jedem Element a = s t aus V 
existiert ein Element c 4 = s 2k + 1 ~ t aus V 

roit c 4 a = s 2k + 1 =1 in GF(p) . 

2. Zu jedem Element a = -s t aus Q 
existiert ein Element c 4 = s 2k + 1 " t aus V 

mit c 4 a = -s 2k + 1 = -1 in GF(p) 

3. Zu jedem Element a = 2s 1 - aus NQ 
existiert ein Element c 4 = s 2k + 1 " t aus V 

rait c 4 a = 2s 2k + 1 = 2 in GF(p) . 



10 



15 



20 



35 
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4. Zu jedem Element a = -2s 1 - aus NQ 

existiert ein Element c 4 = s 2k + 1_t aus V 

mit c 4 a = -2s 2k + 1 = -2 in GF(p). 

Fiir p = 5 mod 8 laJit sich der Parameter a durch 

geeignete Wahl der Konstanten c in die Zahl 
4 

c a = 1 oder - 1 oder 2 Oder - 2 in GF(p) 
ilberfiihren. 



B) p = 1 mod 8 

Die Zahl c 4 a lafit sich nach folgendem Schema ermitteln: 

Fur r=l, -1,2, -2,3, -3,4,-4, .. . 

- bilde z = ra" 1 mod p; 

- berechne u = z <P _1 )/4 mod p; 

- abbrechen, falls u=l ist; 

- speichere z = c 4 und r = c 4 a . 



2 Bestimmung der Zahl "c 2 in GF 



(P) 



Zur Bestimmung der Zahl c 2 mod p wird zunachst im 
25 entsprechenden Korper GF(p) f estgestellt , ob a eine vierte 
Potenz, ein Quadrat aber keine vierte Potenz oder ein 
Nichtquadrat ist. 

2.1 p = 4k + 3 

30 in diesen Korpern wird u = a (p " 1)/2 in GF(p) berechnet. 

- Ist u=l in GF(p), so ist a eine vierte Potenz (bzw. 
ein Quadrat). In diesem Fall ist c 4 = a -1 in GF(p) . 

- Ist u=-l in GF(p), so ist a ein Nichtquadrat. In 
diesem Fall ist c 4 = -a -1 in GF(p) . 



2.2 p = 8k + 5 
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In diesen Korpern wird u 



11 

= a (p-l)/4 



in GF(p) berechnet. 



10 



15 



20 



- 1st u=l in GF(p), so ist a eine vierte Potenz. In 
diesem Fall ist c 4 = a" 1 in GF(p) . 

- Ist u=-l, so ist a ein Quadrat aber keine vierte 
Potenz. In diesem Fall ist c 4 = -a" 1 in GF(p). 

- Ist u weder 1 noch -1 in GF(p), so ist a ein 
Nichtquadrat in GF(p). In diesem Fall wird 

v = (2a) (p ~ 1)/4 in GF(p) berechnet. 1st v=l in GF(p), so 
ist c 4 = 2a _1 in GF(p), sonst ist c 4 = -2a" 1 in GF(p). 

2.2 p = 8k + 1 

In diesen Korpern ist nach dem in 1.2, Fall B 
beschriebenen Schema z = c 4 . 

In alien drei Fallen lassen sich mit einem Aufwand von 
0(log p) die beiden Wurzeln ( c 2 und -c 2 ) aus c 4 berechnen. 
Fur den Fall p = 4k + 3 ist nur eine der beiden angegebenen 
Losungen zulassig, namlich diejenige, die ein Quadrat in 
GF(p) ist. In den anderen Fallen sind beide Losungen 
zulassig. Somit laBt sich der Koeffizient c 6 b der 
elliptischen Kurve berechnen. 

Aufgrund der geschlossenen Formeln fur die Falle p = 4k + 3 
und p = 8k + 5 sind in der Praxis derartige Primzahlen zu 
bevorzugen . 
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Beispiel 1: 

Es sei die Primzahl p = n => Fall 1.1: p = 3 mod 4 



Zahl 


On adra1"p n 


vxexue rotenzen v 


1 


1 


1 


2 


4 


5 


3 


9 


4 


4 


5 


3 


5 


3 


9 


6 


3 


9 


7 


5 


3 


8 


9 


4 


9 


4 


5 


10 


1 


1 



10 



Tabelle 1: Quadrate und vierte Potenzen mod 11 

Damit ergeben sich die Menge der Quadrate Q, die Menge der 
vierten Potenzen V und die Menge der Nichtquadrate NQ zu: 

Q = V = {1,3,4,5,9}; 

NQ = {2, 6, 7, 8, 10} . 



a e V = Q 



ac M = 1 



15 



a= 



1 
3 
4 
5 
9 



c 4 = 



Tabelle 2: Bestimmung von c 4 bei gegebenem Parameter 
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a e NQ z=> ac 4 = -1 



a= 


c 4 = 


2 


5 


6 


9 


7 


3 


8 


4 


10 


1 



Tabelle 3: Bestimmung von c bei gegebenem Parameter a 



5 Tabelle 2 zeigt verschiedene Moglichkeiten einer 

Wertzuordnung von a und c 4 auf, die in der Verknupfung ac 4 
stets 1 ergeben, und Tabelle 3 zeigt verschiedene 
Moglichkeiten einer Wertzuordnung von a und c 4 auf, die in 
der Verknupfung ac 4 stets -1 ergeben. Dies gilt in GF(ll) . 

10 

Bei spiel 2: 

Es sei die Primzahl p = 13 => Fall 1.2 A) : p s 1 mod 4 und 
zugleich p = 5 mod 8 . 

15 



Zahl 


Quadrate Q 


vierte Potenzen V 


1 


1 


1 


2 


4 


3 


3 


9 


3 


4 


3 


9 


5 


12 


1 


6 


10 


9 


7 


10 


9 


8 


12 


1 


9 


3 


9 


10 


9 


3 


11 


4 


3 


12 


1 


1 



Tabelle 4: Quadrate und vierte Potenzen mod 13 
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Damit ergeben sich die Menge der Quadrate Q (die keine 
vierten Potenzen sind) , die Menge der vierten Potenzen V und 
die Menge der Nichtquadrate NQ zu: 

Q = {4,10,12}; 

V = {1,3,9}; 

NQ = {2, 5, 6, 7, 8, 11} . 



a e V 



c 4 g V 



10 



a= 



1 
3 
9 



c 4 = 



Tabelle 5: Bestimmung von c bei gegebenem Parameter a 



ac - 1 mod 13 



15 a e Q 



a= 


c 4 = 


ac 4 = 






4 


3 


12 = -1 


mod 


13 


10 


9 


90 = -1 


mod 


13 


12 


1 


12 = -1 


mod 


13 



Tabelle 6: Bestimmung von c q bei gegebenem Parameter a 
4 

ac = -1 mod 13 

20 

a e NQ 



NQ = {2,5,6,7,8,11}, mit 
25 2*V - {1,5, 6} und 

2*Q = {7,8,11} 

Fall a : a e NQ und a e (2 * v) 
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a= 


c 4 = 


ac 4 = 






2 


1 


2 = 2 


mod 


13 


5 


3 


15 = 2 


mod 


13 


6 


9 


54 = 2 


mod 


13 



Tabelle 7: Bestimmung von c bei gegebenem Parameter a 
=> ac 4 s 2 mod 13 

5 

Fall b : a e NQ und a e (2 * q) 



a= 


c 4 = 


ac 4 = 






7 


9 


63 = -2 


mod 


13 


8 


3 


24 = -2 


mod 


13 


11 


1 


11 = -2 


mod 


13 



Tabelle 8: Bestimmung von c H bei gegebenem Parameter a 
10 => ac 4 s -2 mod 13 



Die auf die beschriebene Art gewonnene elliptische Kurve in 
der zweiten Form (siehe Block 103) wird zu einer 
15 kryptographischen Bearbeitung eingesetzt. 

Fig. 2 zeigt eine Auswahl von Moglichkeiten fur die Wahl der 
Primzahl p zur Verkurzung des Parameters a (siehe Block 201), 
wie oben beschrieben. Die Moglichkeit 202 bestimmt p derart, 

20 daib p = 3 mod 4 gilt. In diesem Fall lafit sich der Parameter 
a anhand oben beschriebener Vorgehensweise verkurzen. Das 
gleiche gilt fur p = 1 mod 4 (Fall 203), wobei eine 
Fallunterscheidung gesondert die beiden Falle p = 5 mod 8 
(Fall 204) und p = 1 mod 8 (Fall 205) anfiihrt. Die 

25 geschlossenen Formulierungen zur Bestimmung eines verktirzten 
Parameters a sind jeweils oben ausgefiihrt. Fig. 2 zeigt 
ausdrucklich eine Auswahl von Moglichkeiten auf, ohne einen 
Anspruch auf eine umfassende Auswahl anzustreben. 
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In Fig. 3 wird in einem ersten Schritt 301 eine elliptische 
Kurve mit den Parametern a, b, p und einer Punktezahl ZP 
gemafi Gleichung (1) bestimmt. In einem Schritt 302 wird die 
elliptische Kurve transf ormiert (vgl . Gleichung (2)). Nach 
der Transformation umfafit die elliptische Kurve die Parameter 
a', b', p und ZP. a' und b' deuten an, daii die Parameter a 
und b verandert wurden, wobei ein Parameter, vorzugsweise der 
Parameter a' kurz ist im Vergleich zu dem Parameter a, so dafi 
durch Abspeichern des Parameters a' anstelle des Parameters a 
als Kennzeichen der elliptischen Kurve Speicherplatz 
eingespart wird. 

In Fig. 4 ist eine Anordnung zur kryptographischen Bearbeitung 
15 dargestellt. 

Ein portables Medium 401, vorzugsweise eine Chipkarte, umfafit 
einen (unsicheren) Speicherbereich MEM 403 und einen 
geschiitzten (sicheren) Speicherbereich SEC 402. Anhand einer 
20 Schnittstelle IFC 404 werden uber einen Kanal 405 Daten 
zwischen dem Medium 401 und einem Rechnernetz 406 
ausgetauscht. Das Rechnernetz 406 umfafit mehrere Rechner, die 
miteinander verbunden sind und untereinander kommunizieren . 
Daten fur den Betrieb des portablen Mediums 401 sind 
vorzugsweise in dem Rechnernetz RN 406 verteilt verfiigbar. 



25 



30 



Der geschtltzte Speicherbereich 4 02 ist nicht lesbar 
ausgefiihrt. Anhand einer Recheneinheit, die auf dem portablen 
Medium 401 oder im Rechnernetz 406 untergebracht ist, werden 
die Daten des geschtltzte Speicherbereichs 4 02 genutzt. So 
kann eine Vergleichsoperation als Ergebnis angeben, ob ein 
Vergleich einer Eingabe mit einem Schliissel im geschiitzte 
Speicherbereich 4 02 erfolgreich war oder nicht. 

35 Die Parameter der elliptischen Kurve sind in dem geschutzten 
Speicherbereich 4 02 oder in dem ungeschiitzten Speicherbereich 
403 abgelegt. Insbesondere wird ein geheimer oder privater 
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Schliissel in dem geschlitzten Speicherbereich und ein 
offentlicher Schliissel in dem unsicheren Speicherbereich 
abgespeichert . 

5 In Fig. 5 ist eine Recheneinheit 501 dargestellt. Die 

Recheneinheit 501 umfaflt einen Prozessor CPU 502, einen 
Speicher 503 und eine Input/Output-Schnittstelle 504, die 
iiber ein aus der Recheneinheit 501 herausgef iihrtes Interface 
505 auf unterschiedliche Art und Weise genutzt wird: Ober 

10 eine Graf ikschnittstelle wird eine Ausgabe auf einem Monitor 
507 sichtbar und/oder auf einem Drucker 508 ausgegeben. Eine 
Eingabe erfolgt iiber eine Maus 509 oder eine Tastatur 510. 
Auch verfugt die Recheneinheit 501 liber einen Bus 506, der 
die Verbindung von Speicher 503, Prozessor 502 und 

15 Input/Output-Schnittstelle 504 sicherstellt . Weiterhin ist es 
moglich, an den Bus 506 zusatzliche Komponenten 
anzuschlieJien: zusatzlicher Speicher, Festplatte, etc. 
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Patentanspriiche 

1. Verfahren zur kryptographischen Bearbeitung anhand einer 
elliptischen Kurve auf einem Rechner, 

a) bei dem die elliptische Kurve in einer ersten Form 
vorgegeben wird, wobei mehrere erste Parameter die 
elliptische Kurve bestimmen, 

b) bei dem die elliptische Kurve in eine zweite Form 
transf ormiert wird, indem mehrere zweite Parameter 
bestimmt werden, wobei mindestens einer der zweiten 
Parameter in seiner Lange gegenuber dem ersten 
Parameter verkurzt wird, 

c) bei dem die elliptische Kurve in der zweiten Form zur 
kryptographischen Bearbeitung bestimmt wird. 

2. Verfahren nach dem vorhergehenden Anspruch, 

bei dem die erste Form der elliptischen Kurve bestimmt 
ist durch 

y 2 = x 3 + ax + b, 
wobei 

x,y Variablen und 

a,b die ersten Parameter 

bezeichnen. 

3. Verfahren nach Anspruch 1 oder 2, 

bei dem die zweite Form der elliptischen Kurve bestimmt 
ist durch 

y 2 = x 3 + c 4 ax + c 6 b , 

wobei 

x, y Variablen, 

a,b die ersten Parameter und 

c eine Konstante 

bezeichnen. 
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Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem der Parameter a verkiirzt wird, indem die 

Konstante c derart gewahlt wird, da£ 

4 

c a mod p 

deutlich kiirzer bestimmt wird als die Langen des 
Parameters b und die Lange der vorgegebenen GroJie p. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem eine kryptographische Verschliisselung 
durchgefiihrt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem eine kryptographische Entschliisselung 
durchgefiihrt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem eine Schliisselvergabe durchgefiihrt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem eine digitale Signatur durchgefiihrt wird. 

Verfahren nach Anspruch 8, 

bei dem eine Verifikation der digitalen Signatur 
durchgefiihrt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem eine asymmetrische Authentikation durchgefiihrt 
wird. 



Vorrichtung zur kryptographischen Bearbeitung, 

mit einer Prozessoreinheit, die derart eingerichtet ist, 

dafi 
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a) eine elliptische Kurve in einer ersten Form vorgegeben 
wird, wobei mehrere erste Parameter die elliptische 
Kurve bestimmen, 

b) die elliptische Kurve in eine zweite Form 

5 transf ormiert wird, indem mehrere zweite Parameter 

bestimmt werden, wobei mindestens einer der zweiten 
Parameter in seiner Lange gegenuber den ersten 
Parameter verkurzt wird. 

c) die elliptische Kurve in der zweiten Form zur 
10 kryptographischen Bearbeitung bestimmt wird. 

12. Vorrichtung nach Anspruch 11, 

bei der die Prozessoreinheit derart eingerichtet ist, dafi 
die erste Form der elliptischen Kurve bestimmt ist durch 



15 



2 3 
y = x + ax + b , 



wobei 

x,y Variablen und 

20 a,b die ersten Parameter 

bezeichnen. 

13. Vorrichtung nach Anspruch 11 oder 12, 

bei der die Prozessoreinheit derart eingerichtet ist, dafi 
25 die zweite Form der elliptischen Kurve bestimmt ist durch 

y 2 = x 3 + c 4 ax + c 6 b , 

wobei 

30 x,y Variablen, 

a,b die ersten Parameter und 

c eine Konstante 

bezeichnen. 

35 14. Vorrichtung nach einem der Anspriiche 11 bis 13, 

bei der die Prozessoreinheit derart eingerichtet ist, dafl 
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der Parameter a verkurzt wird, indem die Konstante c 
derart gewahlt wird, dafi 

4 

c a mod p 

deutlich kiirzer bestimmt wird als die Langen des 
Parameters b und die Lange der vorgegebenen Groiie p. 

Vorrichtung nach einem der Anspriiche 11 bis 14, 
bei der die Vorrichtung eine Chipkarte mit einem 
Speicherbereich ist, wobei in dem Speicherbereich die 
Parameter der elliptischen Kurve abspeicherbar sind. . 

Vorrichtung nach Anspruch 15, 

bei dem ein geheimer Schlussel in einem geschiitzten 
Speicherbereich der Chipkarte abspeicherbar ist. 
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FIG 2 



Moglichkeiten fur eine 
Verkiirzung des 
Parameters a 
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p=1 mod 4 









p=5 mod 8 



p=1 mod 8 
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FIG 3 



Auswahl einer elliptischen 
Kurve mit a,b,p und 
Punktezahl ZP 

1 

Transformation in elliptische 
Kurve mit a', b', p und 
Punktezahl ZP 
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FIG 4 
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